COMODOFirewall使用基础教程一(转).docVIP

COMODO Firewall使用基础教程一（转） 1.Comodo规则设置 在一条程序规则中可以对该程序进行相关的权限限制和保护设置，下面分这两个部分来介绍。 （1）、访问权限 这里是对一个程序的限制设置，通过合理的设置以达到限制程序动作的目的。具体的每一条是什么含义，前人已经说了，在此直接“拿来主义”  运行一个可执行程序——谁都看得懂，无需废话解释，就是运行一个程序。实际上它包含了启动一个进程和创建一个进程。当你在日志中看到某应用程序创建某进程被拦截，指的就是这东东——A程序运行B程序被阻止。 进程间内存访问——包括了读取内存和修改内存两部分。极端危险的事件。Windows操作系统为每一个应用程序分配了一个4GB的虚拟内存空间，用来存放代码和数据。如果A程序修改了B程序的内存，就可能在其代码中添加恶意指令来控制该程序【术语上应该讲进程，为了通俗易懂，就说习惯上的程序吧】。鉴于毛豆的读写不分，谨慎允许该项吧。注意，访问权限里的内存访问，说的是允不允许它去访问别的进程内存；保护设置里的内存访问，说的是允不允许别的进程来访问它的内存。 窗口事件或者事件钩子——习惯上的说法是安装全局钩子，帮助文档里的说法是执行钩子。钩子的作用就是截取（指令、信息、数据），后果就是窃密、盗号，劫持等。钩子通常是dll文件。杀毒软件和Comodo等也是通过下钩子的方式来监控的。注意，访问权限里的钩子，说的是允不允许它执行钩子。至于是执行哪些钩子，当然是应该加以限制的。通常允许执行system32下的系统dll钩子是安全的。保护设置里的钩子，可以理解成允不允许别的程序把那个钩子伸到它的身上钩住它；对于杀软、HIPS等安防软件来说，可以理解成允不允许在它们的钩子之上加装别的钩子，如果允许，那么新装的钩子将先于杀软和HIPS的钩子截取信息。 进程终止——通俗讲，就是允不允许它结束别的正在运行中的程序。专职运行结束进程的，有csrss.exe，任务管理器，comodo、冰点安防软件的杀进程工具。一般程序没必要结束别的进程。专业解释可以参看相关资料。一般情况下，一个程序结束它自己创建的进程是正常的。结束进程与挂起进程的差别是，挂起进程只是暂停，结束进程是停止并退出。注意：访问权限里的进程终止，说的是允不允许它结束别的进程；保护设置里面的进程终止，说的是允不允许别的程序来结束它的进程。 设备驱动程序安装——安装驱动，极端危险的事件之一。驱动程序是运行在内核态的，ring0级，一般的运行在ring3级的程序是管不到它的。除非安装新的硬件或者杀毒软件之类的安防软件，其它的禁止吧。 窗口消息钩子——正确的翻译应该是窗口消息。一般来说没有什么危害。恶意的消息洪水会导致程序的进程崩溃，玩测试工具时可以禁止该项操作。注意，访问权限里的设置，说的是允不允许它向别的进程发送窗口消息；保护设置里面的设置，说的是允不允许别的进程给它发送窗口消息。 受保护的COM接口——程序可以通过COM接口使用相关组件，可以关闭系统、修改系统时间、调试提权、后台调用IE等进程偷偷上传、下载…… 受保护的注册表键——这个不需要解释了，危险事件。允许该项操作，程序可以任意访问注册表，修改设定保护的注册表内容将不再过问。阻止该项操作，程序不可以修改受保护的注册表内容。  受保护的文件目录——重要目录、路径，指定的exe等文件的保护。危险事件。如果允许该项操作，FD操作的创建、修改、删除活动将不受限制。严重情况下可以彻底搞坏系统。 域名解析客户端服务——允不允许该程序使用域名解析功能。允许，则该程序执行域名解析的活动不受阻止。 内存——访问物理内存。关于该项的危害，帮助文档里说“恶意程序尝试访问物理内存运行各种漏洞——最有名的是“缓冲区溢出”漏洞。一个接口允许在特定的内存地址中存放一定量的数据，但如果恶意程序提供大量的数据到该地址就会导致缓冲区溢出。大量的数据会覆盖内存中的内部数据结构并导致系统被迫执行恶意程序的代码。”根据这些说明，主要是防止恶意程序的。一般情况下，能够限制的程序尽量限制吧，对于不明程序一定要严格限制，安全可信和必要的程序可以允许【例如系统进程，安防软件，内存整理工具等】。  屏幕监视器——访问屏幕，获取屏幕信息。截图软件，游戏等会使用此功能。一些窃密软件也会使用该功能。没必要的就不要允许吧。 磁盘——磁盘底层访问。允不允许绕过系统直接进行磁盘的底层读写？除了wmiprvse.exe和磁盘清理、碎片整理工具外，其它的阻止吧。按照帮助文档里的说法，阻止该项可以防止获取磁盘上存储的数据、删除硬盘上的文件、格式化驱动器或者用写垃圾数据的方法来损坏文件系统。 键盘——键盘记录，获取你输入的内容。盗号木马最喜欢的事情，出于防盗考虑，不明程序、没必要的程序都禁止吧。记事本，文字处理文件，